전 세계에서 사이버 공격이 폭발하면서 조직이 강력한 암호 정책을 갖는 것이 그 어느 때보다 중요합니다. 해커는 종종 합법적 인 사용자 또는 관리자 자격 증명을 통해 회사 네트워크에 액세스하여 보안 사고 및 규정 준수 실패를 초래합니다. 이 문서에서는 강력하고 효과적인 활성 디렉터리 암호 정책을 만들고 유지하는 방법을 알아봅니다.
공격자가 회사 암호를 손상시키는 방법
해커는 다음을 포함하여 다양한 기술을 사용하여 회사 암호를 손상시킵니다:
- 무차별 대입 공격-해커는 올바른 암호를 입력 할 때까지 다양한 잠재적 암호 조합을 입력하는 프로그램을 실행합니다.
- 사전 공격-이 가능한 암호로 사전에 발견 된 단어를 시도 포함 무차별 대입 공격의 특정 형태이다.
- 암호 분사 공격-해커는 알려진 사용자 이름 또는 기타 계정 식별자를 입력하고 여러 개의 공통 암호를 시도하여 작동하는지 확인합니다.
- 자격 증명 스터핑 공격-해커는 자동화 된 도구를 사용하여 다양한 회사 로그인 포털에 대한 자격 증명 목록을 입력합니다.
- 스파이더링 악의적인 사용자는 해킹 대상에 대해 가능한 한 많은 정보를 수집한 다음 해당 데이터를 사용하여 생성된 암호 조합을 시도합니다.
액티브 디렉터리 암호 정책 보기 및 편집 방법
이러한 공격을 방어하려면 조직에 강력한 액티브 디렉터리 암호 정책이 필요합니다. 암호 정책은 최소 길이,복잡성에 대한 세부 정보(예:특수 문자 필요 여부)및 암호가 변경되어야 할 때까지 암호가 지속되는 시간과 같은 암호 생성에 대한 다른 규칙을 정의합니다.
기본 도메인 정책은 도메인의 모든 개체에 영향을 주는 설정을 포함하는 그룹 정책 개체입니다. 도메인 암호 정책을 보고 구성하려면 관리자가 그룹 정책 관리 콘솔을 사용할 수 있습니다. 도메인 폴더를 확장하고 정책에 액세스하려는 도메인을 선택한 다음 그룹 정책 개체를 선택합니다. 기본 도메인 정책 폴더를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다. 컴퓨터 구성->정책->윈도우 설정->보안 설정->계정 정책->암호 정책으로 이동합니다.
또는 다음 명령을 실행하여 도메인 암호 정책에 액세스할 수 있습니다:
Get-ADDefaultDomainPasswordPolicy
기본 도메인 암호 정책에 대한 변경 사항은 해당 도메인 내의 모든 계정에 적용됩니다. 암호 정책을 만들고 관리할 수 있습니다.
광고 암호 정책 설정 이해
6 개의 암호 정책 설정과 기본값은 다음과 같습니다:
- 암호 기록 적용-기본값은 24 입니다. 이 설정은 사용자가 이전 암호를 재사용하기 전에 만들어야 하는 고유 암호의 수를 지정합니다. 사용자가 손상된 암호를 가질 위험을 줄이려면 기본값을 유지하는 것이 좋습니다.
- 최대 암호 사용 기간—기본값은 42 입니다. 이 설정은 시스템에서 사용자가 암호를 변경하도록 하기 전에 암호가 존재할 수 있는 기간을 설정합니다. 사용자는 일반적으로 암호 만료 기간이 끝날 때 팝업 경고를 받습니다. 사용자 이름/도메인 명령을 실행하여 이 설정을 확인할 수 있습니다. 암호를 자주 변경하면 사용자가 암호를 작성하거나 재사용하는 줄기 단어에 달을 추가하는 것과 같은 관행을 채택하여 실제로 보안 위험이 증가 할 수 있습니다. “최대 암호 사용 기간”을 0 으로 설정하면 암호가 만료되지 않습니다(일반적으로 권장되지 않음).
- 최소 암호 사용 기간-기본값은 1 일입니다. 이 설정은 사용자가 암호를 변경할 수 있도록 허용되기 전에 암호가 있어야 하는 기간을 지정합니다. 최소 연령을 설정하면 사용자가”암호 기록 적용”설정을 우회하고 즐겨 찾는 암호를 즉시 재사용하기 위해 암호를 반복적으로 재설정하지 못하게합니다.
- 최소 암호 길이-기본값은 7 입니다. 이 설정은 암호에 포함할 수 있는 문자 수를 가장 적게 설정합니다. 짧은 암호는 해커가 해킹하는 것이 더 쉽지만,정말 긴 암호를 요구하는 것은 잘못 입력에서 잠금 및 암호를 적어 사용자의 보안 위험을 초래할 수 있습니다.
- 복잡성 요구 사항—기본값이 활성화됩니다. 이 설정은 사용자가 암호 문자열에 포함해야 하는 문자 유형을 자세히 설명합니다. 최상의 방법은 최소 암호 길이가 8 이상인 이 설정을 사용하도록 설정하는 것이 좋습니다. 복잡성 요구 사항에는 일반적으로 다음과 같은 암호가 포함되어 있어야 합니다:
-
- 숫자(0-9)
- $,#또는%와 같은 영숫자가 아닌 문자
- 사용자의 계정 이름 또는 표시 이름에서 두 개 이하의 기호
- 가역적 암호화를 사용하여 암호 저장-기본값은 비활성화됩니다. 이 설정은 사용자가 인증을 위해 암호를 입력해야 하는 앱에 대한 지원을 제공합니다. 관리자는 이 설정을 사용하지 않도록 설정해야 합니다. 예외적으로 인터넷 인증 서비스 또는 챌린지 핸드셰이크 인증 프로토콜을 사용할 때 이 설정을 사용하도록 설정할 수 있습니다.
세분화된 정책 및 구성 방법
이전 버전의 광고에서는 각 도메인에 대해 하나의 암호 정책만 만들 수 있었습니다. 따라서 관리자는 비즈니스 요구 사항을 보다 잘 충족시키기 위해 여러 개의 암호 정책을 만들 수 있습니다. 예를 들어 일반 사용자 계정보다 더 복잡한 암호를 사용하도록 관리자 계정이 필요할 수 있습니다. 조직 구조를 신중하게 정의하여 원하는 암호 정책에 매핑하는 것이 중요합니다.
기본 도메인 암호 정책을 정의하는 동안 암호 설정 개체에서 설정됩니다. 시스템 폴더로 이동 한 다음 암호 설정 컨테이너를 클릭합니다.국립표준연구소는 디지털 신원 관리에 관한 통제와 요구사항을 발행하는 연방 기관이다. 특별 간행물 800-63 비 암호에 대한 표준을 다룹니다. 2017 년에 발행되고 2019 년에 업데이트 된 개정판 3 은 현재 표준입니다.
이 지침은 조직에 강력한 암호 보안 인프라를 구축할 수 있는 기반을 제공합니다. 권장 사항은 다음과 같습니다:
- 사용자 생성 암호의 길이는 8 자 이상이어야 합니다(기계 생성 암호의 경우 6 자).
- 사용자가 최대 64 자까지 암호를 만들 수 있습니다.
- 사용자가 암호에 아스키/유니코드 문자를 사용할 수 있도록 허용합니다.
- 순차 또는 반복 문자로 암호를 허용하지 않습니다.
- 암호를 자주 변경할 필요가 없습니다. 여러 해 동안 많은 조직에서는 사용자가 암호를 자주 변경하도록 요구했지만 이 정책은 사용자가 기본 암호를 증분 변경하거나 암호를 기록하거나 새 암호를 잊어 버려 잠금이 발생하는 경우가 많습니다. 따라서 최신 표준에서는 암호 만료 정책을 신중하게 사용해야 합니다. 최근의 연구는 더 나은 대안,금지 된 암호 목록을 사용하여 더 이상 암호를 사용하고 추가 보안을 위해 다중 요소 인증을 시행 포함 제안합니다.
광고 암호 정책 모범 사례
보다 광범위하게 관리자는 다음을 확인해야 합니다:
- 최소 암호 길이는 8 자로 설정하십시오.
- 암호 복잡성 요구 사항을 설정합니다.
- 사용자의 마지막 10 개의 암호를 되돌아 보는 암호 기록 정책을 적용합니다.
- 최소 암호 사용 기간은 3 일입니다.
- 180 일마다 로컬 관리자 암호를 재설정합니다.
- 1 년에 한 번 유지 관리 중에 장치 계정 암호를 재설정합니다.
- 도메인 관리자 계정의 암호가 15 자 이상이어야 합니다.
- 암호가 만료되도록 사용자에게 알리도록 이메일 알림을 설정합니다.
- 기본 도메인 정책 설정을 편집하는 대신 특정 조직 구성 단위와 연결할 세분화된 암호 정책을 만드는 것이 좋습니다.
- 금지된 암호 목록을 사용합니다.
- 암호 관리 도구를 사용하여 여러 암호를 저장합니다.
자세한 내용은 광고의 강력한 보안을 위한 암호 정책 모범 사례를 참조하십시오.
사용자 교육은 암호 정책만큼이나 중요합니다. 다음과 같은 행동 규칙을 사용자에게 교육합니다:
- 암호를 적어 두지 마십시오. 대신,강력한 암호 또는 쉽게 불러올 수있는 암호를 선택하고 암호 관리 도구를 사용합니다.
- 누군가 보고 있을 때 암호를 입력하지 마십시오.
주소가 주소보다 더 안전하다는 것을 이해하십시오. - 민감한 정보에 대한 액세스를 제공하는 여러 웹 사이트에 동일한 암호를 사용하지 마십시오.
자주 묻는 질문
내 활성 디렉터리 암호 정책을 찾아 편집하려면 어떻게 해야 합니까?관리 콘솔을 통해 컴퓨터 구성->정책->보안 설정->계정 정책->암호 정책으로 이동하거나 특정 도메인에 대한 현재 광고 암호 정책을 찾을 수 있습니다.
활성 디렉토리에서 암호가 암호화되어 있습니까?
예. 사용자가 만든 암호는 암호화하는 해시 알고리즘을 통해 이동합니다.
활성 디렉터리 암호 복잡도란 무엇입니까?
복잡성 요구 사항은 암호에 포함할 수 없거나 포함할 수 없는 문자를 제어합니다. 예를 들어 사용자가 자신의 사용자 이름을 자신의 암호로 사용하지 못하도록 하거나 암호에 하나 이상의 숫자와 하나의 소문자를 포함해야 할 수 있습니다.
윈도우 서버 암호 정책이란?
윈도우 서버 암호 정책은 윈도우 서버에 액세스하기위한 암호를 제어합니다.
어떻게 찾을 수 있습니까,편집 또는 윈도우 서버에서 암호 정책을 사용하지 않도록 설정?
그룹 정책 관리 콘솔을 통해 그룹 정책을 찾아 편집을 클릭합니다.
좋은 암호 정책이란 무엇입니까?
모범 사례는 다음과 같습니다:
- 사용자가 이전 암호를 재사용하기 전에 최소한 10 개의 새 암호를 만듭니다.
- 최대 암호 사용 기간은 42 일입니다.
- 최소 암호 사용 기간은 3 일입니다.
- 사용자가 8 자 이상의 암호를 만들도록 합니다.
- “복잡성 요구 사항”옵션을 활성화합니다.
- 되돌릴 수 있는 암호화를 비활성화합니다.